Güvenlik araştırmacıları, saldırganların kullanıcı kimlik bilgilerini ve özel bilgileri çalmak için tasarlanmış bir bankacılık kötü amaçlı yazılımı olan Zloader’ı dağıtmak için Microsoft e-imza doğrulamasını kötüye kullandığı yeni bir kampanya gözlemliyorlar.
Bugün bulgularını açıklayan Check Point Araştırma ekibine göre, bu kampanya Kasım 2021’in başlarında tespit edildi. 2 Ocak itibariyle, dünya çapında 2.170 benzersiz kurban IP’sinin kötü amaçlı DLL dosyasını indirdiğini söylediler. Kurbanların çoğu Amerika Birleşik Devletleri (864), Kanada (305) ve Hindistan’da (140) bulunuyor. Bunların yaklaşık üçte biri işletmelerdir, küçük bir kısmı eğitim ve devletle ilgilidir ve geri kalanı bireylerdir.
Zloader, kötü amaçlı yazılımın yeni bir biçimi değildir; bu kampanyalar daha önce vahşi doğada çeşitli şekillerde görülmüştür. Araştırmacılar, 2020’de görülen daha önceki Zloader kampanyalarının hedef sistemlere saldırmak için kötü amaçlı dosyalar, yetişkinlere uygun web siteleri ve Google reklamları kullandığını söyledi.
Burada, saldırı operatörleri özellikle kaçınma tekniklerine odaklanmış görünüyor. Hedef makinelere ilk erişim sağlamak ve imzanın geçerliliğini korurken bir dosyanın imzasına kod eklemek için meşru uzaktan yönetim yazılımı (RMM) kullanırlar ve ardından mshta.exe kullanarak çalıştırın.
“Benim açımdan yeni ve en ilginç şey, bunu ilk kez fark etmemizdir. [a] Check Point’teki kötü amaçlı yazılım araştırmacısı Kobi Eisenkraft, Zloader kampanyasının yükünü, sistemin savunmasından daha fazla kaçmak için imzalı bir sistem DLL dosyasına enjekte etmek için Microsoft’un dijital imza doğrulama yöntemini kullanıyor” diye açıklıyor. “Bu kanıt, Zloader kampanya yazarlarının savunma kaçırma konusunda büyük çaba sarf ettiğini gösteriyor. “
Enfeksiyon, Atera yazılımının hedef makineye yüklenmesiyle başlar. Atera, bir aracı kurabilen ve sahibinin e-posta adresini içeren bir .msi dosyasıyla belirli bir hesaba uç nokta atayabilen meşru kurumsal RMM yazılımıdır. Saldırganlar bunu geçici bir e-posta adresiyle yaptı ve indirilebilir dosya, daha önceki Zloader kampanyalarında görülen bir yöntem olan Java yüklemesi olarak gizlendi.
Eisenkraft, ekibin bu kampanyada saldırganların Atera’yı kurban cihazlarına nasıl dağıttığından emin olmadığını söylüyor; ancak daha önceki Zloader kampanyalarında operatörler, yetişkinlere yönelik bir filmin bir bölümünü oynayarak kurbanları cezbetti. Birkaç saniye sonra video durdu ve bir mesaj Java’larının güncellenmesi gerektiğini söylüyordu. Saldırganların makineye dosya göndermesini ve çalıştırmasını sağlayan Atera’nın deneme sürümü olan bir “Java” yüklemesini indirmeleri istendi, diye açıklıyor.
Yazılım makineye yüklendikten sonra, saldırgan “Komut Dosyasını Çalıştır” işlevini kullanarak iki .bat dosyasını cihaza yükler ve çalıştırır. Biri Windows Defender tercihlerini değiştirmek için, diğeri ise kötü amaçlı yazılımın geri kalanını yüklemek için kullanılır. Bu aşamada, komut dosyaları Windows Defender’a istisnalar ekler ve algılama ve araştırma için kullanılabilecek araçları devre dışı bırakır.
Komut dosyası daha sonra mshta’yı çalıştırır[.]appContast ile exe[.]parametre olarak dll. Araştırmacılar bu dosyanın Microsoft tarafından geçerli bir imza ile imzalandığını fark ettiler ve iki dosyayı karşılaştırarak saldırganların dosyaya kötü amaçlı DLL için bir komut dosyası eklediğini gördüler.
Check Point ekibi, “İmzalı bir dosyada yapılan bu basit değişiklikler imzanın geçerliliğini korur, ancak bir dosyanın imza bölümüne veri eklememizi sağlar,” dedi. bulguların teknik olarak yazılması. Bu kampanyada, eklenen bilgiler saldırganların Zloader yükünü indirip çalıştırmasını sağlar.
Bunun CVE-2020-1599, CVE-2013-3900 ve CVE-2012-0151’de belirtilen bir güvenlik açığının sonucu olduğunu belirttiler.
Microsoft, 2013’te imza doğrulama sorununu ele aldı Güvenlik Bülteni ve bir düzeltmeye bastı. Ancak, uygulamadan sonra “mevcut yazılım üzerindeki etkinin yüksek olabileceğini belirlediklerini” söyledi. Ekip, Temmuz 2014’te, daha katı dosya doğrulamasını bir katılım güncellemesi için değiştirdiklerini yazdı. Birisi yamayı manuel olarak yüklemedikçe, korunmadılar. Eisenkraft, birçok güvenlik satıcısının, Microsoft’tan geçerli bir dijital imzaya sahip olduğu için kötü amaçlı imzalı dosyanın çalışmasına izin vereceğini açıklıyor.
kötü duman
Eisenkraft, saldırganların herhangi bir özel veri türünün peşinde olmadığını söylüyor; çoğunlukla şifreler ve hassas bilgiler ele geçirildi.
Check Point, Kasım kampanyasını Malsmoke’a bağlıyor. Eisenkraft, araştırmacıların grubun Microsoft dijital imzalarını kötüye kullandığını ilk kez gördüklerini, ancak daha önceki Malsmoke kampanyalarıyla benzerlikler fark ettiklerini söylüyor. Önceki saldırılarının kötü amaçlı yazılımları Java eklentileri olarak gizlediği biliniyordu ve bu durumda gerçekleştiğini söylüyorlar.
Teamworks455 etki alanı için kayıt şirketi bilgileri arasında da bir bağlantı vardır.[.]com, mevcut kampanya dosyalarının barındırıldığı yer ve ayrı bir 2020 Malsmoke kampanyasına bağlı başka bir alan.